RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 学术研究 / 正文

TCG TPM 2.0规范研读之:信任根 或者 可信根

0 学术研究 | 2014年12月12日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/rootoftrust.html

 信任根意味着必须无条件相信,一个信任根是否表现预期是无法知道的,不过如何实现信任根是可以知道的。平台厂商可以提供证书,保证信任根按照可信的方式实现的。一般需要由资深专家对信任根TPM的实现进行评估,厂商给的证书可以标识厂商的身份以及该厂商生产的TPM芯片的EAL(Evaluated Assurance Level)等级。EAL:评估担保等级。

[附注:通用标准CC(Common Criteria)的EAL等价现在分为7级,等级越高代表该产品的安全越值得信赖]

TCG规范的可信平台需要三个信任根:度量根(Root of Trust for Measurement,RTM),存储根(Root of Trust for Storage,RTS),和报告根(Root of Trust for Reporting)。

度量根RTM

度量根RTM将平台完整性信息(即度量值)发送给存储根RTS。通常,RTM是度量核心信任根CRTM(Core Root of Trust for Measurement)控制的CPU。CRTM是一个新的信任链构建时执行的第一组指令(或者说执行的最初代码)。当系统重启时,系统CPU开始执行CRTM,这相当于是信任链的起点,也就是度量根RTM。CRTM会将指示其身份的完整性值发送给RTS,进行安全存储。

存储根RTS

TPM的存储对外部实体是隔离或者屏蔽的,通常称为Shielded Locations. 由于TPM可以防止对其保护存储的非预期访问,因此TPM就可以充当RTS

并不是TPM内部的所有存储区域都是敏感的。如PCR值就是非敏感的数据,任何人都可以读取;而存储私钥和机密数据的区域就必须保持敏感。有时,TPM在访问某个存储区域的内容时,可能使用另外一个存储区域的内容作为条件,如特定的PCR状态作为访问某个签名密钥的条件。

报告根RTR

RTR报告RTS的内容。注意,不要片面的理解RTR就是Quote操作,实际上,一个RTR报告可以是对TPM内部任意选取值的内容进行数字签名。并不是所有的存储区域都可以进行访问和报告,如私钥部分的值和授权值,TPM就不会对外进行报告。

典型的RTR报告的值有如下三种:

  1. PCR值(如TPM2_Quote命令),表示平台配置状态的证据;

  2. 审计日志(如TPM2_GetCommandAuditDigest命令);

  3. 密钥属性(如TPM2_Certify()命令)。

RTR和RTS之间的交互至关重要,要能够防止所有形式的软件攻击,以及TPM保护轮廓(Protection Profile)中提到的物理攻击。

TPM作为RTR对外进行报告,需要有一个标识TPM(或者RTR)身份的东西。TPM 2.0中标识身份的是非对称密钥的形式,即EKs(Endorsement Keys),这些EKs可以从一个共同的种子中派生出(KDF密钥派生算法)。注意,每个种子值以及其派生的别名EKs,对于一个TPM必须是统计上独立的。也就是说,两个不同的TPMs拥有相同EK的概率是可以忽略的。同一个种子可以派生出多个非对称密钥,所有这些密钥代表同一个TPM和RTR。

TPM通过引证(Quote)PCR值来报告平台的可信状态,PCR值是否真能反应该平台的可信状态呢?需要建立该报告根RTR与平台的绑定关系。TPM 2.0中也是通过平台证书(Platform Certificate)来提供这种绑定关系的证据。平台厂商在物理上生产平台(RTM)和TPM(RTR)并进行绑定后,提供平台证书,作为证明该物理绑定关系的证明权威(certifying authority)。

RTR的隐私性考虑

EK的唯一性以及其密码可验证性也导致了一个问题的提出,直接使用EK这个身份是否能导致活动日志的聚集?即所有用同一个EK的活动记录都会被关联起来,这样会泄露该平台用户的隐私信息。为了应对这个问题,TCG鼓励使用特定域(通常是存储域)的签名密钥,而限制对EK的使用。隐私域的管理员负责控制对EK的使用,例如控制将另一个密钥绑定到EK。

如果EK没有获得一个可信实体的证明(得到合法的EK证书),那EK的可信和隐私属性与其它纯软件方式生成的非对称密钥没有任何区别。通常,TPM1.2中EK固定在TPM内部,应该由TPM厂商负责验证EK和签发EK证书;TPM 2.0增加了灵活性,EK可以有多个,而且可以由隐私域自己生成后,再得到外部可信第三方的证明。EK的公钥部分并不是隐私敏感的。



 

 

因此,RTM度量根实际上是平台的CPU和CRTM(最初执行的一组指令或者代码);RTS存储根和RTR报告根是TPM本身,一个代表TPM提供屏蔽存储的能力,一个代表TPM对外进行可信报告的能力。RTM属于平台,而RTS和RTR属于TPM,如何保证和证明平台与TPM的绑定性呢?显然,EK证书只代表TPM,代表不了平台,这种绑定性需要平台证书,可见平台证书并不是EK证书。但是也不能否认,有些厂商可能会将平台的信息也嵌入到EK证书中(因为其生产时将TPM芯片物理固定在该平台上),这样EK证书就可以代表平台证书了。Anyway,实际应用场景才能决定,只要逻辑上满足要求就可以说得通。

 


 

参考

[1] Trusted Computing Group, TPM Library Specification, http://www.trustedcomputinggroup.org/resources/tpm_library_specification

 


  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 信任根  可信平台模块  可信计算  TPM   ”的文章

    请填写你的在线分享代码
    上一篇:TCG TPM 2.0规范研读之:可信平台理解、可信平台模块下一篇:PUF技术公司之Verayo

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档